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© Verfahren zum Diagnostlzleren elner von Computervlren befallenen Datenverarbeltungsanlage. 

© Das Verfahren ist gekennzeichnet durch die Ver- 
wendung eines, einen Algorithmus enthaltenden, vi- 
rusfreien Programms P, aus dem zum Zeitpunkt x = 
to mit Hilfe des Algorithmus ein 
Programmauthentifizierungs-Code PAC = f (P) ge- 
bildet und, zusammen mit dem Programm abgespei- 
chert wird. Zu Prtlfzwecken wird nun dieses virus- 
freie Programm zu spateren Zeitpunkten x' = t1, t2, 
t3, ... tn als Koderprogramm in die zu untersuchende 
Datenverarbeltungsanlage eingebracht und gestartet, 
der sich dabel jeweils # ergebende 
Programmauthentifizierungs-Code PAC mit dem ge- 
speicherten Programmauthentifizierungs-Code PAC 
verglichen und bei Ungleichheit ein Fehlersignal er- 
zeugt. 
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Verfahren zum Diagnostizleren einer von Computerviren befallenen Datenverarbeitungsanlage 



Die Erfindung betrifft ein Verfahren zum Dia- 
gnostizieren einer von Computerviren befallenen 
Datenverarbeitungsanlage gema/J den Merkmalen 
des Oberbegriffs des Patentanspruchs 1. 

Computerviren haben die Eigenschaft, dafl sie 
ursprunglich sterile Programme infizieren. d.h. hin- 
sichtlich Qualitat und Quantitat so verSndern, dafl 
die Funktion und eventuell die Lainge des befalle- 
nen Programms mit denen des ursprdngiich steri- 
len Programms nicht mehr Qbereinstimmen. Ein 
Virusprogramm kann dabei sowohl als isoliertes 
Programm als auch in Gestalt eines bereits infizier- 
ten Benutzerprogramms auftreten. In beiden Fallen 
besitzt es die Fahigkeit, eine Kopie von sich selbst 
zu erzeugen und in ein anderes Programm einzu- 
schleusen, das dann seinerseits wieder als Virus 
auftreten und weitere Programme infizieren kann 
mit der Folge. dafl sich Computerviren letztlich 
"lawinenartig" ausbreiten konnen. 

In Anbetracht des Schadens, den ein infiziertes 
Programm anrichten kann, kommt dem rechtzeiti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebliche Bedeutung zu. In der Pra- 
xis stoflt diese jedoch auf erhebliche Schwierigkei- 
ten. weil einem Programm, zumal einem umfang- 
reichen Programm. auf den ersten Blick grundsatz- 
lich nicht anzusehen ist, ob es infiziert ist oder 
nicht. Vergleichstests mit Hilfe eines steriien Exem- 
plars desselben Programms anhand einer rein visu- 
ellen PrUfung wSren zwar grundsatzlich moglich. 
scheiden aber aus praktischen Erwagungen aus. 
Auch der Einsatz der Datenverarbeitungsanlage zur 
Programmprufung kommt letztlich nicht in Betracht, 
weil maschinell nicht mit letzter Sicherheit feststell- 
bar ist, ob ein Programm wirklich das tut, was es 
soil, abgesehen davon. dafl noch viel weniger fest- 
stellbar ist ob ein Programm etwas tut, was es gar 
nicht soli. 

Im Ubrigen hStten derartige Prtifroutinen, falls 
sie erfolgreich realisiert werden konnten. nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
konnten. Virusprogramme konnen namlich mit ei- 
ner besonderen Eigenart, der sogenannten 
"Ausloser--Funktion behaftet sein. Das einge- 
schleuste Virus halt dann fUr einen vorbestimmten 
Zei'traum still und wird erst durch den sogenannten 
Ausloser, zum Beispiel durch eine im Programm 
eingearbeitete Zeitangabe Oder durch spezielle 
Rags wirksam. Wenn man also vor eventuellen 
"Zeitbomben" sicher sein will, mu3 die Datenverar- 
beitungsanlage fortlaufend im Hinblilck auf eventu- 
ell eingeschleuste und neu auftretende Wen unter- 
sucht werden. 

Der voriiegenden Erfindung liegt nun die Auf- 
gabe zugrunde, eine Methode zu finden, mit der 



eine einfache und beliebig wiederholbare OberprQ- 
fung einer Datenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computerviren durchfGhr- 
bar ist. 

5 Die Ldsung dieser Aufgabe ergibt sich erfin- 

dungsgemafl durch die kennzeichnenden Merkma- 
ie des Patentanspruchs 1. Eine vorteilhafte Weiter- 
bildung des Erfindungsgedankens ist im Anspruch 
2 angegeben. 

10 Das erfindungsgemSfle Verfahren hat den Vor- 
teil, dafl anstelle eines sehr aufwendigen Pro- 
grammvergleichs lediglich ein Vergleich zweier Co- 
des erforderlich ist. VorausseUung ftlr das Funktio- 
nieren des erfindungsgemSflen Verfahrens ist eine 
75 zweifelsfrei sterile Kopie des Programms. das 
heiflt, das Programm mufl auf einer Datenverarbei- 
tungsanlage hergestellt werden, von der mit Sicher- 
heit davon ausgegangen werden kann, dafl sie zum 
Zeitpunkt der Programmherstellung virusfrei war. 
20 Die GewShr. 6aB ein steriles Vergleichs- w Normal" 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden, bei dem die Testperson sicher 
sein kann. dafl kein Virus eingepflanzt worden ist. 
25 Das aufgrund einer Differenz zwischen den beiden 
Codes gefundene Virus kann dann gegebenenfalls 
isoliert und untersucht werden. Aus der Art und der 
Wirkungsweise des gefundenen Virus kflnnen 
schliefllich Methoden zur Desinfektion der Anlage 
30 entwickelt werden. 

Im folgenden wird die Erfindung anhand der 
Zeichnung nSher eriautert Dabei zeigen 

FIG t ein Blockschaltbild fOr eine Anordnung 
zur Erzeugung eines Testprogramms. 
35 FIG 2 ein Blockschaltbild fOr eine Anordnung 

zur Durchfdhrung eines Testdurchlaufs. 

Ausgangspunkt fUr das erfindungsgemaOe Ver- 
fahren ist ein absolut virusfreies Programm P. des- 
sen Besonderheit darin besteht. dafl es einen Algo- 
40 rithmus f enthSlt. GemSfl Figur 1 wird nun mit Hilfe 
dieses Algorithmus f zum Zeitpunkt to aus dem 
Programm P ein Programmauthentifizierungs-Code 
PAC erzeugt, der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 
dem Programmauthentifizierungs-Code PAC gebil- 
dete Testprogramm wird nun gemSfl Ftgur 2 zu 
spateren Zeitpunkten tl, t2 ... tn als sogenanntes 
KQderprogramm in die zu untersuchende Datenver- 
50 arbeitungsanlage eingebracht, urn feststellen zu 
konnen, ob diese Datenverarbeitungsanlage noch 
steril oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen in der 
Datenverarbeitungsanlage vorhandenen Zeitgeber 
T ausgeldste Test lauft nun so ab, dafl aus dem 
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gespeicherten Testprogramm, d.h. mlt dem im Pro- 
gramm P enthaltenen Algorithmic f em weiterer 
Programmauthentiflzierungs-Code PAC' erzeugt 
wird. Sowohl dieser neu gebildete Programmau- 
thentlfizierungs-Code PAC' als auch der gespei- 
cherte Programmauthentifizierungs-Code PAC war- 
den schliefilich einem Komparator COMP zuge- 
fOhit der bei Ungleichheit der Signale ein Fehlersi- 
gnal erzeugt. 
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AnsprUche 

1. Verfahren zum Diagnostizieren einer von 
Computerviren befaiienen Datenverarbeltungsanla- is 
ge mlt Hllfe eines Testprogramms, 
gekennzelchnet durch die Verwendung eines, ei- 

nen Algorithmus f enthaltenden, virusfreien Pro- 
gramms P.aus dem zum Zeitpunkt x = to mit 
Hiife des Algorithmus ein 20 

Programmauthentifizierungs-Code PAC = f (P) ge- 
bildet und zusammen mit dem Programm abge- 
speichert wird und da/3 dieses virusfrele Programm 
zu spMteren Zeitpunkten x « tl, t2. t3... tn als 
KQderprogramm in die zu untersuchende Datenver- 25 
arbeitungsanlage eingebracht und gestartet, der 
sich dabei jeweils ergebende 

Programmauthentifizierungs-Code (PAC ) mit dem 
gespeicherten Programmauthentifizierungs-Code 
(PAC) verglichen und bei Ungleichheit ein Fehlersi- ao 
gnal erzeugt wird. 

2. Verfahren nach Anspruch 1, 

dadurch gekennzelchnet, daj3 der zu spSteren 
Zeitpunkten gestartete Programmlauf durch einen 
in der Oatenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgelGst wird. 
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